Windows 10, Office, Defender… : Microsoft corrige 112 failles de sécurité dans ses produits

Windows 10, Microsoft Office, Windows Defender et de nombreux autres logiciels Microsoft bénéficient du Patch Tuesday du mois de novembre 2020. En tout plus de 112 failles de sécurité, dont 17 sont considérées comme critiques, ont été corrigées via le correctif.

Microsoft vient de déployer des correctifs pour 112 failles de sécurité découvertes dans ses produits via le Patch Tuesday de novembre 2020. La mise à jour inclut une solution contre la faille zero-day particulièrement dangereuse découverte par Google Project Zero la semaine dernière. 17 des failles adressées par le Patch Tuesday de novembre sont considérées comme “critiques” c'est à dire particulièrement graves.

93 d'entre elles sont classées “Importantes” et deux sont de faible gravité. Ce qui porte tout de même le compte total au-delà de 110 après un Patch Tuesday d'octobre qui avait corrigé 87 failles. Microsoft explique que les bugs concernés par ce Patch Tuesday visent les produits suivants :

Microsoft Windows
Microsoft Office et Microsoft Office Services et Web Apps
Internet Explorer
Microsoft Edge (EdgeHTML)
Microsoft Edge (Chromium)
ChakraCore
Microsoft Exchange Server
Microsoft Dynamics
Microsoft Windows Codecs Library
Azure Sphere
Windows Defender
Microsoft Teams
Azure SDK
Azure DevOps
Visual Studio
Lire également : Windows 10 est victime d'écrans bleus et de redémarrages aléatoires depuis les dernières mises à jour

Microsoft corrige pas moins de 117 failles de sécurité dont 17 critiques
La pire de ces failles de sécurité est sans conteste la faille CVE-2020-17087 qui écope d'un score CVSS de 7,8 (sur une échelle de 10). Il s'agit d'une faille de type dépassement de mémoire tampon (buffer overflow) qui peut permettre à un attaquant, en conjonction avec une autre faille de Google Chrome, d'exécuter du code arbitraire avec élévation de privilèges.

En plus de ce Patch Tuesday, on note que Chrome bénéficie lui aussi d'une mise à jour pour adresser cette faille. Parmi les autres problèmes de sécurité on trouve un grand nombre de vulnérabilités de type exécution de code à distance (Remote Code Execution ou RCE) sur Exchange Server, Network File System, Microsoft Teams, ainsi que dans la plateforme de virtualisation Windows Hyper-V.

Dans ces failles, la plus sévère semble être celle du Network File System (CVE-2020-17051) qui écope d'un score CVSS de 9,8. Microsoft relève néanmoins qu'en raison de la complexité d'une éventuelle attaque exploitant cette faille, sa sévérité réelle est plutôt basse. On peut également citer une corruption mémoire dans Microsoft Scripting Engine, Internet Explorer (CVE-2020-17053) et des failles d'exécution de code à distance dans la librairie de codecs HEVC.

Pour le reste, Microsoft est plutôt discret quant à la manière dont les failles de ce Patch Tuesday pouvaient être exploitées, et leurs effets sur la machine. En raison de l'étendue et de la gravité des failles, il semble cependant indispensable de tenir votre machine à jour. Pour cela, sur Windows 10 :

Allez dans Démarrer > Paramètres > Mises à jour et Sécurité > Windows Update
Cliquez sur Vérifier les mises à jour
La mise à jour sera proposée dès qu'elle est disponible sur votre machine.